Moin Moin!

Nachdem ich den Artikel noch einmal überarbeitet und erweitert habe, bitte ich erneut um Durchsicht und Kritik.

http://aktuell.de.selfhtml.org/artikel/review/kontextwechsel/

In "JavaScript und HTML" ganz hinten schreibst Du: "Beide Kontextwechsel wurden jeweils fehlerfrei gemeistert. Ein Angriff erzeugt zwar – je nachdem wie der Eingabewert weiterverwendet wird – möglicherweise eine ungewollte Ausgabe auf dem Bildschirm, doch wenigstens ist sie sicherheitstechnisch harmlos."

Bei dem Wörtchen "harmlos" sträuben sich mir doch etwas die Haare. Wenn die tuwas()-Funktion wesentlich mehr macht als nur alert() zu wrappen, kann hier trotzdem noch eine Lücke entstehen. Zum Beispiel, wenn eval() im Spiel ist oder der Parameter eigentlich eine relative URL eines weiteren Javascripts sein soll. Das Problem ist doch viel mehr, dass unvalidierte Eingaben wieder ausgegeben werden statt einen Fehler zu erzeugen. Ich weiß, das geht wieder über den Artikelrahmen hinaus. Aber wenn man sich ausreichend blöd stellt, kann man den letzten Satz so lesen, dass saubere Kontextwechsel SÄMTLICHE Sicherheitsprobleme lösen.

Alexander